venerdì 20 dicembre 2019

Emotet attacca la Germania: Francoforte bloccata per un giorno intero


Stiamo parlando spesso del trojan bancario Emotet, una cyber minaccia in continua evoluzione diffusa da qualche mese anche in Italia, con vere e proprie campagne di malspam mirate contro enti pubblici e aziende italiane. 

Con l'avvicinarsi del nuovo anno gli attori responsabili di Emotet (che ricordiamo è un MaaS - Malware as a Service, affittabile online da chiunque paghi la quota di affiliazione) hanno provveduto ad alcune modifiche che, quasi sicuramente, vedremo operative nelle nuove versioni che saranno diffuse in questi giorni di festività: la principale è sulla modalità di diffusione, ma ne daremo conto nel caso in cui tali modifiche diverranno operative. 

Intanto è notizia di ieri di una serie di attacchi mirati contro numerosi enti pubblici tedeschi, che hanno messo in difficoltà tale gli amministratori da dover bloccare numerosi sistemi per mitigare i danni.

A subire i danni maggiori la municipalità di Francoforte, obbligata allo shut down di tutti i sistemi IT per impedire la propagazione del malware in ulteriori infrastrutture: così per 24 ore tutti i i siti web della municipalità relativi ai servizi online per i cittadini sono rimasti offline. Anche in questo caso, la gravissima infezione si è sviluppata a partire da un solo click, stando alle ricostruzioni della stampa locale: il solito click sbagliato su mail compromessa da parte di un dipendente della municipalità.

giovedì 19 dicembre 2019

Nuovi attacchi contro utenti italiani: in distribuzione Ursnif e Emotet


Il Cert-PA e la compagnia di cyber sicurezza Yoroi hanno diramato due diversi alert riguardanti campagne di diffusione malware via email rivolte contro utenti italiani. Una prima campagna diffonde il trojan Emotet tramite caselle di Posta Elettronica ordinaria. La seconda invece diffonde il trojan Ursnif tramite false comunicazioni di noti Corrieri quali GLS. Vediamole in dettaglio:

1. La campagna di diffusione di Emotet
la rilevazione è avvenuta ad opera del Cert-PA, che ha individuato una campagna di email di spam con riferimenti al Ministero dell'Economia e Finanze (MEF) e all'Ispettorato Generale di Finanza (IGF), un portale che ospita vari applicativi correlati alle funzioni di vigilanza. 

Il corpo email contiene un link che, all'apparenza, sembra condurre ad un documento istituzionale del MEF: in realtà reindirizza verso un dominio compromesso nel quale è in download un file .doc che ha funzioni di downloder del malware Emotet. Il tutto avviene tramite traffico SSL, così le parti di codice e i componenti dannosi del malware supereranno almeno i livelli basilari di sicurezza. 

mercoledì 18 dicembre 2019

Attacco ransomware obbliga la città di New Orleans al blocco di server e sistemi


La città di New Orleans sta lentamente tornando alla normalità, dopo aver subito un attacco ransomware di ampia portata che ha colpito le infrastrutture IT della municipalità costringendo allo shut down di computer, sistemi e server della città. 

Kim LaGrue, Chief Information Officer di New Orleans ha fatto sapere che le prime attività sospette sono state registrate già alle 5 del mattino di Venerdì scorso. Alle 8 del mattino, quando gli impiegati hanno effettuato l'accesso ai propri pc, si è verificato un vero e proprio picco di individuazioni di attività sospette ed è iniziata immediatamente una verifica dello stato di reti e sistemi. Intorno alle 11, 11.30 circa è stato confermato, anche a mezzo stampa, che la città era sotto attacco ransomware e che i partner statali e federali erano già stati allertati. E' stato diramato quindi l'ordine, a tutti i dipendenti, di spegnere e disconnettere i computer dal sistema pubblico del Municipio. Anche i server della città sono stati spenti. Sono rimasti attivi e funzionanti soltanto i servizi di emergenza come L'emergency Operation Center, il 911, il Dipartimento dei Vigili del Fuoco, il Dipartimento di Polizia ecc..

La nota di riscatto che non c'è

giovedì 12 dicembre 2019

Il ransomware Zeppelin attacca aziende sanitarie e IT in Europa e negli U.S.A


E' in diffusione in questi giorni una nuova variante della famiglia di ransomware Buran: la nuova versione, chiamata Zeppelin, è stata individuata nel corso di attacchi reali contro aziende statunitensi ed europee. Nessuna campagna massiva di email vettore per questo ransomware, che anzi, viene distribuito quasi esclusivamente tramite attacchi mirati. 

Buran è una famiglia di ransomware della quale abbiamo già parlato, che ha debuttato come ransomware as a service (RaaS) , pubblicizzato dal Maggio 2019 su molteplici forum di hacking in lingua russa. Il "business" funziona bene, gli affiliati sono già centinaia: il RaaS Buran infatti garantisce ben il 75% di guadagno dal pagamento del riscatto per gli affiliati, riservando invece per i propri operatori solo un 25%. Da Maggio sono state rilasciate almeno tre nuove varianti della famiglia, Vegalocker e Jamper, quindi la versione attualmente in distribuzione, Zeppelin appunto. 

Zeppelin in dettaglio

mercoledì 11 dicembre 2019

L'ultimo Update Patch di Microsoft risolve una grave vulnerablità 0-day in uso in attacchi reali


Con la più recente (e ultima per quest'anno) Patch Tuesday, Microsoft ha risolto una vulnerabilità 0-day che gli attaccanti stanno sfruttando attivamente via exploit: se l'exploit ha successo gli attaccanti ottengono il controllo da remoto delle macchine vulnerabili. Pare che tale vulnerabilità venga sfruttata in combinato con un'altra vulnerabilità 0-day, la CVE-2019-13720 di Google Chrome. 

La 0-day in oggetto è indicata con CVE-2019-1458 ed è una vulnerabilità che consente l'escalation di privilegi di amministrazione sul sistema. In dettaglio, Microsoft ha spiegato che “Un attaccante che abbia sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel. Potrebbe, quindi, installare programmi, visionare, modificare o cancellare dati, oppure creare nuovi account con pieni privilegi di utente”. 

martedì 10 dicembre 2019

Ben tre campagne malware in corso contro utenti italiani: ransomware e trojan all'attacco


Non c'è pace per l'Italia: già ieri abbiamo reso notizia di una, ennesima, campagna di distribuzione del ransomware FTCode tramite circuito PEC. Questa è ancora in corso, ma già si sono affiancate a questa attività dannosa addirittura altre due campagne, una per distribuire il malware Emotet e una per il trojan bancario Ursnif. 

1. Campagna di distribuzione Emotet
Emotet viene diffuso tramite email di spam: le email hanno vario argomento, ma sono tutte accomunate dal cercare di indurre un certo senso di urgenza nella potenziale vittima, così da renderla meno attenta e prudente. Le email contengono poco testo e un link che riconduce ad un file Word compromesso: questo infatti contiene una macro dannosa che, se abilitata, scarica ed esegue il malware Emotet. 

lunedì 9 dicembre 2019

Ancora ransomware FTCode: ennesima campagna di distribuzione via PEC contro utenti italiani


L'alert del Cert-PA è di stamattina, 9 Dicembre: è in corso, sempre solo contro utenti italiani, una  nuova campagna di distribuzione del ransomware FTCode. Le email sono veicolate tramite il circuito PEC e contengono un unico link allegato il cui testo è ripreso dall'oggetto di una precedente email. Nella foto sotto la finta fattura TIM contenuta nell'email

giovedì 5 dicembre 2019

Urnsif scatenato: seconda campagna contro utenti italiani e pubblica amministrazione


A neppure un giorno di distanza dal primo alert (ne abbiamo parlato qui) il Cert-PA lancia un secondo allarme relativo, anch'esso, a una massiva campagna di distribuzione del trojan infostealer Ursnif contro utenti italiani. Questa campagna, attualmente in corso e affiancata a quella già descritta ieri, non mira soltanto alla pubblica amministrazione, ma anche ad utenze private. La versione di Ursnif in distribuzione non si limita solo al furto di dati, ma installa anche una backdoor sul sistema infetto garantendo all'attaccante sia di accedere al sistema in qualsiasi momento (magari anche a distanza di mesi dall'infezione) sia di intercettare tutte le battiture sulla tastiera e le azioni dell'utente. 

Il Cert-Pa ha pubblicato una lista indicativa degli oggetti email di questa campagna: 
  • Sollecito pagamento
  • Sollecito di pagamento effetti
  • sollecito pagamento nostre fatture n. XXXX e XXXX  (con X = numero casuale)
  • FATTURE_(vendite)
  • pagamento provvigioni

Tutte le email allegano un file .xls recante nomi diversi, ma contenenti tutti la stessa macro dannosa.

mercoledì 4 dicembre 2019

Il trojan bancario e infostealer Ursnif diffuso via email ai comuni italiani


L'alert del Cert-PA è di ieri pomeriggio: è stata individuata una campagna di email di spam, anche tramite circuito PEC, che distribuisce ai comuni italiani il trojan bancario e per il furto di credenziali Ursnif. 

L'email vettore è piuttosto scarna: indirizzata ad una corposa lista di comuni italiani, invita al download di un archivio .ZIP e alla visualizzazione del contenuto tramite l'uso di una password allegata nel testo stesso. Una volta scaricato l'archivio ed estratto il contenuto, l'utente si trova a visualizzare un file .DOC contenente una macro dannosa, responsabile dell'avvio dell'infezione. L'infezione si avvia all'attivazione della macro. Durante la fase di compromissione, la macro scarica anche un file di tipo XML, ma rinominato in XLS: questo contiene codice Javascript da eseguire tramite l'utility WMI command-line (WMIC). 

martedì 3 dicembre 2019

StrandHogg: la devastante falla su Android già usata dai cyber criminali


E' stata individuata dai ricercatori di Promon, che hanno scritto un dettagliato report disponibile qui in inglese, una grave vulnerabilità che affligge tutte le versioni esistenti di Android. Rendiamo un breve estratto del report, data la gravità della falla scoperta (che consente di prendere totale controllo sul dispositivo Android senza necessità di eseguire il root) e dato il fatto che è già in uso da diversi gruppi di cyber criminali. 

Come funziona
Gli attaccanti stanno usando un exploit specifico che sfrutta questa falla di livello critico di Android: in dettaglio parliamo di una vulnerabilità nel sistema multitasking che può essere usata per consentire ad un'app dannosa di camuffarsi da qualsiasi altra app attiva sul dispositivo. L'exploit si basa sull'impostazione di controllo chiamata "taskAffinity" che consente a qualsiasi app (anche quelle dannose, evidentemente) si assumere liberamente qualsiasi identità nel sistema multitasking. 

Che cosa può accadere se l'exploit ha successo?

lunedì 2 dicembre 2019

Ancora Ransomware, ancora Stati Uniti: il ransomware Maze mette ko un altro grande ospedale


L'attacco è stato individuato la sera di Lunedì e il team IT del Great Plains Healt in Nebraska ha lavorato tutte la notte per mitigare i danni: eppure oggi, Lunedì 2 Dicembre, la struttura sta ancora subendo le conseguenze dell'attacco e il personale ha dovuto rispolverare carta e penna per mantenere l'attività. Già Martedì l'ospedale si è ritrovato costretto a cancellare le prenotazioni di centinaia di pazienti non urgenti, appuntamenti vari e prestazioni ambulatoriali: sono stati invece  confermati ed eseguiti sia gli interventi chirurgici già fissati che gli esami radio diagnostici. 

venerdì 29 novembre 2019

RevengeHotels: massiva campagna di attacco colpisce alberghi in vari stati (Italia compresa)


Kaspersky ha pubblicato ieri un interessante report riguardante una campagna massiva campagna di attacco contro strutture ricettive (alberghi, ostelli, bed and breakfast) in varie nazioni del mondo. La maggior parte delle infezioni si registrano in Brasile, ma risultano colpite decine di strutture anche in Argentina, Bolivia, Cile, Francia, Messico, Portogallo, Spagna e anche in Italia. Il tracciamento dei  link consentito dal servizio di abbreviazione link Bit.ly mostra come vi siano migliaia di click anche da altri paesi: la lista, insomma, è destinata ad allungarsi. 

L'attacco mira a infettare i sistemi delle strutture ricettive per sottrarre i dati delle carte di credito di ospiti e viaggiatori, ma anche per rubare le credenziali e i dati finanziari ricevuti da popolari agenzie di viaggio online come Booking.com.

mercoledì 27 novembre 2019

Privacy online: arriva il tracker che nessun (o quasi) antitracker può bloccare


Tutti i browser più diffusi, Firefox tra i primi, mettono a disposizione degli utenti alcune funzionalità anti tracciamento che non solo bloccano i cookies, ma anche altre tipologie di tracciamento e profilazione dell'utente. A queste funzionalità si affiancano estensioni specifiche (uBlock Origin è un esempio, così come Privacy Badger ecc..) che permettono un maggior livello di protezione. 

Nella vicenda che raccontiamo non c'entra molto il cyber crimine: il contesto in cui si inserisce è quello di una corsa continua tra le agenzie di marketing, che cercano di carpire più informazioni possibili sull'utente che visita un determinato sito web, e gli sviluppatori di software che, al contrario, cercano di ridurre l'invasività (talvolta apertamente contro la legge) delle stesse. Per adesso gli anti tracker esistenti, free o a pagamento, garantiscono buoni risultati e comunque danno la possibilità sia di bloccare completamente le visualizzazioni delle pubblicità e il tracciamento dei cookie o di impostar livelli intermedi di protezione. 

La novità però, proprio di questi giorni, è l'utilizzo da parte del sito di news Liberation di un tracker capace di aggirare tutte le forme di protezione fino ad ora esistenti: il tracker, sviluppato dall'agenzia di marketing Eulerian, fa leva sulla distinzione tra cookie dell'editore e cookie di terze parti e si "insinua nella terra di mezzo" tra queste due tipologie di cookie. 

lunedì 25 novembre 2019

Italia sotto attacco: truffa di phishing ai danni degli utenti Agenzia Italiana del farmaco


L'alert del CERT-PA è di poche ore fa: gli esperti del nostro Computer Emergency Response Team hanno individuato una campagna di phishing via email volta alla sottrazione degli account di posta elettronica degli utenti di AIFA (Agenzia Italiana del Farmaco). 

Il testo è scritto in italiano corretto e cerca di convincere l'utente della imminente necessità di aggiornare il proprio account AIFA facendo click su un link incorporato nel testo. E', questo, un classico dell'ingegneria sociale: cercare di convincere l'utente bersaglio a compiere un'azione (cliccare su un link, scaricare un allegato) facendo leva su un problema da risolvere con una certa urgenza. Nel testo infatti si minaccia la chiusura definitiva dell'account AIFA a quegli utenti che, entro 4 ore, non avranno "aggiornato" l'account. 

venerdì 22 novembre 2019

Come si ricatta un'azienda: il ransomware Maze colpisce la più grande azienda di sicurezza U.S.A e inizia l'incubo. Un nuovo paradigma per i ransomware?


Hanno imposto una scadenza precisa e, dopo che nessun riscatto è stato pagato in tempo, i cyber attaccanti dietro il ransomware Maze hanno pubblicato oltre 700 MB di dati e file rubati all'azienda specializzata in servizi e sicurezza Allied Universal. I ricercatori di Bleeping Computer, contattati dagli attori di Maze, hanno fatto sapere che quei 700 MB non coprono neppure il 10% del numero complessivo di dati rubati. 

E' una brutta storia, da raccontare, dicono da Bleeping Computer, perché dà un insegnamento chiaro: in caso di infezione ransomware non basta più preoccuparsi su come riportare in chiaro i file criptati, ma occorre anche preoccuparsi di quale fine possono fare i dati rubati. 

In breve: Maze

giovedì 21 novembre 2019

Ricordate la notizia dei 730 milioni di immagini sanitarie esposte in Internet? Ecco, la situazione è peggiorata



Qualche tempo fa abbiamo riportato una notizia piuttosto allarmante: la società tedesca Greenbone, specializzata in sicurezza dati, vulnerabilità e resilienza dei sistemi, aveva da poco pubblicato un report piuttosto dettagliato sullo stato di sicurezza dei sistemi di storage di immagini diagnostico sanitarie nel mondo.  Dal report è emersa una situazione piuttosto grave tra immagini diagnostiche accessibili senza credenziali, individuabili tramite comuni motori di ricerca e, in alcuni casi, persino scaricabili, che vedeva anche l'Italia maglia nera in Europaper sistemi e numero di immagini esposte. 

A distanza di due mesi Greenbone è tornata a verificare la situazione e, incredibilmente, ha dovuto registrare un netto peggioramento della situazione: le immagini esposte sono salite a 1 miliardo e 19 milioni, oltre il 60% in più. Ne rendiamo i punti salienti, mentre, per chi volesse approfondire, il report completo è disponibile qui.

mercoledì 20 novembre 2019

Città criptate: attacco ransomware coordinato obbliga allo shut down dei sistemi informatici del governo della Louisiana


Lo denunciamo ormai da qualche tempo e la questione viene ribadita da svariati eventi, dei quali potete trovare traccia in alcuni articoli di questo blog: gli attacchi contro istituzioni governative e sanitarie o contro infrastrutture critiche sono in costante crescita. 

L'ultimo episodio, in ordine di tempo, risale giusto a ieri: il governo della Louisiana è stato colpito da un attacco ransomware coordinato su larga scala, che ha costretto il Governo a mettere offline i server di molte agenzie di Stato, compreso il sito del Governo, i sistemi email e le applicazioni interne, al fine di mitigare e impedire la diffusione del ransomware. 

L'attacco è avvenuto Lunedì scorso ed è stato seguito da una sequenza di shut down che ha riguardato larga parte delle agenzie di stato, compreso l'Ufficio del Governatore, la Motorizzazione, il Dipartimento di Salute, il Dipartimento dei servizi ai bambini e alla famiglia, il Dipartimento dei Trasporti e Sviluppo e altri. 

martedì 19 novembre 2019

Nuovi attacchi via Posta Certificata PEC


In questi giorni stiamo assistendo a due nuovi attacchi informatici che vengono ancora veicolati attraverso la Posta Certificata PEC. I malware in questione sono una nuova versione di FTCODE e una nuova versione di sLoad.

FTCODE per Android
Di questa campagna, attualmente in corso, abbiamo parlato ieri qui. La novità rispetto alle campagne precedenti è che i cyber attaccanti si sono dotati di un sistema che garantisce loro di compromettere anche i dispositivi mobile Android. In dettaglio, se l'utente legge l'email e clicca sui link in essa contenuti da un dispositivo Android, si avvia automaticamente  l'installazione di un file .APK denominato PostaElettronicaCertificata.apk. Questo malware, ancora in analisi, permetterà all'attaccante di leggere SMS, chiamate e contatti della rubrica. Ha anche funzionalità di keylogging, la capacità di inviare SMS dal dispositivo infetto e di ricevere istruzioni dal server C&C per svolgere ulteriori attività dannose.

lunedì 18 novembre 2019

Ultimi aggiornamenti sul ransomware FTCODE


Oggi 18 novembre 2019 il CERT-PA ha diffuso un nuovo alert di una nuova campagna di spam volta a diffondere il ransomware FTCODE. Come già in passato per la diffusione del malware viene utilizzata una e-mail PEC con all'interno un unico link. Il link punta ad un file .ZIP, che attualmente si trova su Dropbox, all'interno del quale si trova un file .VBS, che contiene l'eseguibile del ransomware. Il testo dell'email è preso da una precedente conversazione email della vittima, così da indurla a credere di essere di fronte al proseguo di uno scambio già avviato. 

venerdì 15 novembre 2019

Gennaio 2020: Windows 7 e Windows Server 2008 R2 arrivano a fine vita. Che fare?


Dal gennaio 2020 Microsoft non rilascerà più aggiornamenti e patch per i sistemi client Windows 7 e per i sistemi server Windows 2008. La questione non è affatto secondaria, sia perchè risultano ancora milioni gli utenti che utilizzano questi sistemi operativi, ma anche perchè, concentrandoci sull'Italia, oltre il 50% dei computer della pubblica amministrazione esegue ancora Windows 7, mentre il 20% circa dei server utilizza Windows 8 (e qualcuno perfino Windows 2003). 

La nota di Windows, che potete leggere qui, è molto chiara: l'interruzione del supporto per Windows 7 e Server 2008 avverrà il 14 gennaio 2020. Nella stessa nota Windows, oltre a specificare che sta inviando un numero limitato di notifiche agli utenti con questi sistemi operativi (invitandoli all'update a Windows 10), fa sapere anche che, di lì a pochi giorni, anche Office 2010 non riceverà più supporto. 

Fine supporto: che cosa significa? 

mercoledì 13 novembre 2019

Mega Cortex: il ransomware, diffuso anche in Italia, ha una nuova versione


Non abbiamo parlato molto di Mega Cortex, un ransomware che non è mai stato nella "top 10" di questo tipo di malware, ma che comunque è regolarmente distribuito da qualche mese ed ha messo a segno alcune centinaia di infezioni anche nel nostro paese. 

MegaCortex in breve: cosa è, come si diffonde
questo ransomware è stato individuato a Maggio scorso dai ricercatori di sicurezza di Sophos: mira principalmente alle reti e alle workstation aziendali. Una volta penetrati nella rete, gli attaccanti che controllano il ransomware infettano l'intera rete aziendale usando domain controller Windows. La prima versione era distribuita secondo confini geografici precisi: si registrarono casi di infezione negli Stati Uniti, in Canada, in Francia, nei Paesi Bassi, in Irlanda e, come detto, in Italia.  

lunedì 11 novembre 2019

Nuovo data leak per Facebook: sviluppatori esterni accedono a dati sensibili dai Gruppi


Facebook ha reso pubblico qualche giorno fa un altro incidente di sicurezza, ammettendo che oltre 100 sviluppatori di app potrebbero aver avuto accesso ai dati privati degli utenti dai gruppi. In post sul blog (visualizzabile qui) interamente dedicato agli sviluppatori, Facebook ha fatto sapere che gli sviluppatori che possono avere avuto accesso non autorizzato ai dati degli utenti (nome, cognome, foto di profilo ecc...) sono principalmente legati ad app di gestione dei social media e per lo streaming video, che consentono agli admin dei gruppi di gestire gli utenti più efficacemente e aiutare i membri a pubblicare video nei gruppi stessi. 

La nuove norme di sicurezza dati dopo l'affaire Cambridge Analytica
Facebook ha apportato, appena lo scorso anno, alcune pesanti modifiche alla sua API Group sulla scia dello scandalo Cambridge Analytica, dato che quel leak riguardò ben 87 milioni di utenti, la cui privacy fu violata dalla società terza al fine di manipolare le elezioni negli Stati Uniti.

venerdì 8 novembre 2019

Qsnatch: il malware che colpisce (anche in Italia) i dispositivi QNAP


L'alert è di metà Ottobre, ma alcuni casi di infezione in Europa sono stati denunciati soltanto pochi giorni fa: parliamo di Qsnatch, il nuovo malware progettato per colpire soltanto i dispositivi QNAP, scoperto dagli specialisti del National Cyber Security Center Finland (qui l'alert). 

Il record di infezioni in Europa per ora spetta alla Germania, con oltre 7000 dispositivi colpiti, stando ai dati pubblicati proprio dal CERT tedesco, ma si registrano alcune centinaia di casi anche in Italia, come indicato dalla mappa sottostante:

giovedì 7 novembre 2019

FTCODE Ransomware: nuova versione in diffusione in Italia


In passato abbiamo già avuto modo di parlare di FTCODE, un ransomware che prende di mira, esclusivamente l'Italia, soprattutto professionisti e aziende, tramite posta certificata PEC. Le vittime ricevono una email, con un'allegato infetto in formato .ZIP, che reca come oggetto false comunicazioni ufficiali da parte della Pubblica Amministrazione o di altri professionisti / aziende.

Segnaliamo inoltre che alcuni utenti vittime del ransomware hanno denunciato il mancato invio del tool di decriptazione da parte degli attaccanti ANCHE DOPO IL PAGAMENTO del riscatto: consigliamo quindi di NON PAGARE alcuna somma agli attaccanti, perché non c'è garanzia di ricevere il tool.

mercoledì 6 novembre 2019

Anonymous torna all'attacco e ci ricorda le nostre debolezze

di Alessandro Papini - Presidente Accademia Italiana Privacy

Oggi è l'anniversario della congiura delle polveri: per quelli che non hanno dimestichezza con la storia anglosassone ricordo il film V per vendetta. È una ricorrenza spietata per i cosiddetti Hack-tivisti, i gruppi legati ad Anonymous. E, come era prevedibile, il comunicato del 5 novembre non si è fatto attendere (clicca qui per leggerlo integralmente). Voglio soffermarmi su due passaggi fondamendali; il primo: 

"E noi italiani? Continuiamo a litigare per chi "comanda". Per chi ha "più potere". E continuiamo a mandare persone allo sbaraglio politico per noia, rabbia o per dare un "vaffanculo" generale. Destra, sinistra, centro e tutte le possibili combinazioni di partiti, non-partiti, leghe e movimenti. Il risultato rimane lo stesso. Non sono le persone a fallire.  È il sistema." Un altro anno è passato! Un altro anno a ricordare quello che dovrebbe essere un giorno di "liberazione" per il mondo, e non solo per noi Anonymous. Perché il 5 Novembre non è solo il giorno in cui trasmettono V per Vendetta in televisione, ma è un giorno di ribellione. Ribellione contro quegli stati malati, approfittatori, corrotti che ormai sembrano essere un cliché delle nostre nazioni."

martedì 5 novembre 2019

Ancora ospedali criptati, ma anche radio e provider. Ransomware scatenati, nuove vittime eccellenti in U.S.A. e Spagna


Ancora ransomware, ancora città, ospedali, aziende criptate. Qualche tempo fa avevamo tratteggiato un vero e proprio salto di qualità nella diffusione dei ransomware, sopratutto del ransomware Ryuk: non solo pubbliche amministrazioni, ma anche vari "colpi grossi" contro ospedali e scuole. Nonostante le leggi federali e statali emanate appositamente negli Stati Uniti per arginare il fenomeno, gli attacchi non sono affatto cessati. E anzi, si registra un nuovo attacco che ha colpito una istituzione molto importante, il Brooklyn Hospital. Ma arrivano brutte notizie anche dall'Europa, con due gravi attacchi ransomware in Spagna. 

1. Il Brooklyn Hospital perde(irrimediabilmente) i dati dei pazienti in un attacco ransomware
Un attacco ransomware ha colpito i sistemi computerizzati del Brooklyn Hospital Center di New York, causando la perdita PERMANENTE dei dati dei pazienti. I tecnici hanno provato a recuperare i dati, senza successo: questo indica che il riscatto non è ancora stato pagato ai cyber attaccanti. 

Frodi online: le tendenze del secondo trimestre 2019


Nei primi sei mesi di quest’anno gli attacchi che diffondono malware finanziari sono cresciuti dell’80% rispetto allo stesso periodo del 2018. Le tattiche più prolifiche per questo tipo di frodi sono sicuramente il phishing e i financial malware (grafico 1).
Nel secondo trimestre del 2019 sono stati identificati nel mondo 57.406 attacchi fraudolenti. Su questi quelli di phishing sono stati 21.389, circa il 37% di tutti gli attacchi di frode, con un calo del 10% rispetto al trimestre precedente. Il numero complessivo delle cyber frodi globali rilevati da RSA è aumentato del 63% nei primi 6 mesi del 2019 rispetto al 1° semestre dello scorso anno (grafico 2).

giovedì 31 ottobre 2019

21 milioni di credenziali aziendali in vendita nel Dark Web


In vari siti e forum nel Dark Web sono sparsi circa 21.000.000 di credenziali (username e password) nella disponibilità di cyber-criminali disposti a pagare alcuni dollari. Sono credenziali riferite a molteplici società e le più colpite risultano essere quelle del settore tecnologico, finanziario, energetico e sanitario, presenti nella lista Fortune 500, che raccoglie le maggiori società americane per fatturato.
Da un report del sito ImmuniWeb si evince che si tratta di informazioni raccolte, sia in chiaro che craccate, in vari attacchi informatici, e non si tratta di dati vecchi visto che oltre 16.000.000 di queste credenziali sono state rubate nell'ultimo anno.

mercoledì 30 ottobre 2019

Italia sotto attacco: due campagne di spam diffondono via email i ransomware Maze e FTCode


Sono ben due le campagne di email di spam che, in queste ore, stanno bersagliando utenti italiani per diffondere ransomware. La prima campagna di email di spam, individuata dal ricercatore di sicurezza JAMESWT, diffonde il ransomware Maze, mentre la seconda, individuata dal Cert-Pa, veicola una versione rivista di FTCode. In entrambi i casi le email sono "travestite" da comunicazioni ufficiali dell'Agenzia delle Entrate, di Sogei, dell'Inail ecc... Vediamole entrambe in dettaglio

1. FTCode: il ransomware che diventa infostealer
L'alert, l'ennesimo, del Cert-PA riguardante FTCode è di ieri mattina: è stato infatti rilevata una massiva campagna di email di spam che distribuisce una versione rivista del famigerato ransomware. In dettaglio sono state aggiunte funzionalità di infostealing, principalmente per sottrarre username e password salvate in alcuni popolari software come Firefox, Chrome, Outlook, Internet Explorer, Thunderbird. 

martedì 29 ottobre 2019

Unicredit: sistemi violati. Rubati i dati di 3 milioni di clienti


È stata la banca stessa ad annunciare, con questa nota, il gravissimo leak che risalirebbe al 2015: un leak grave per dimensioni e per sensibilità dei dati rubati. Il comunicato di Unicredit è piuttosto spartano, privo di dettagli tecnici.  Parla di un "incidente" che ha coinvolto un file risalente al 2015 e contenente informazioni sensibili di clienti dell'istituto. La buona notizia è che non paiono essere stati sottratti, così afferma Unicredit, le credenziali di accesso dei servizi di home banking, quindi l'Istituto esclude ripercussioni dirette sui conti dei clienti vittime del furto dei propri dati.   

Cosa si sa per adesso
Come detto, i dettagli tecnici sono pochissimi: quel che è certo è che un attaccante sconosciuto è riuscito ad accedere ai server di Unicredit e compromettere un file, creato nel 2015, contenente 3 milioni di record appartenenti esclusivamente a clienti italiani della banca. 

Tra le informazioni sottratte si trovano:

lunedì 28 ottobre 2019

Adobe Creative Cloud data breach: esposti i dati di 7,5 milioni di utenti


Adobe ha messo in sicurezza un database contenente 7.5 milioni di record appartenenti ad utenti Adobe Creative Cloud. Il database Elastichsearch era completamente esposto, accessibile a chiunque senza autenticazione. Fortunatamente, i dati contenuti in questo database non sono dati altamente sensibili, ma possono comunque essere usati per campagne di phishing o altre tipologie di truffe. Ricordiamo comunque che Adobe aveva già subito un data breach, nel 2013: in quel caso finirono esposti dati sensibili come password e informazioni finanziarie, molti dei quali risultano ancora in circolazione. 

Non è chiaro il periodo di tempo durante il quale questi dati sono rimasti esposti ma il ricercatore Bob Diachenko e il giornalista Paul Bischoff, che per primi hanno scoperto il database, affermano che chiunque vi avrebbe potuto accedere per almeno una settimana. Il database è stato individuato nell'ambito di una scansione attiva del web in cerca di database non sicuri. 

venerdì 25 ottobre 2019

Nuova campagna di diffusione del ransomware FTCODE


Ancora allarme per una nuova, massiva, campagna di email di spam finalizzata alla distribuzione del ransomware FTCODE.

FTCode in breve
FTCcode è un ransomware del 2013, scomparso dalle scene per oltre 6 anni: è stato individuato di nuovo in diffusione lo scorso Settembre. In poche settimane ne sono state registrate 3 nuove versioni, con svariate modifiche per risolvere bug e per migliorare la capacità di passare inosservato agli antivirus. Viene diffuso solo contro utenti italiani, tramite massive campagne di email di spam trasmesse tramite il circuito PEC. Mira principalmente ad aziende, pubbliche amministrazioni e professionisti: sono oltre 500 gli account email PEC compromessi usati per la diffusione del ransomware. Ad ora nessuna delle versioni di FTcode è risolvibile. 

La nuova campagna di diffusione

lunedì 21 ottobre 2019

Ransomware Sodinokibi - spiando gli attaccanti: strumenti e tattiche


Di Sodinokibi abbiamo parlato recentemente: è infatti un ransomware molto giovane, emerso quasi in contemporanea con Ryuk, ma che è divenuto in poco tempo uno dei ransomware di punta nello scenario degli strumenti malware. Così protagonista nello scenario dei ransomware da aver determinato un aumento dell'ammontare medio delle richieste di riscatto: concorso di colpa da condividere col "collega" Ryuk.  

Per approdondire >> Dentro Sodinokibi, il Top Ransomware

I ricercatori di McAfee sono riusciti ad esaminare strumenti e tattiche in uso agli affiliati della rete di Sodinokibi il quale, ricordiamo, è un RaaS, un ransomware as a service, ovvero un malware offerto in affitto a soggetti che lo distribuiscono in proprio guadagnando dai riscatti quel che resta dopo aver pagato la quota di affitto agli sviluppatori del ransomware stesso. Ne rendiamo un breve riassunto, utile ad aumentare la consapevolezza e la conoscenza sul mondo dei ransomware e quindi anche su come difendersi.

venerdì 18 ottobre 2019

Google Chrome per Android: introdotta la funzione di sicurezza Site Isolation


Dopo aver abilitato la funzione di sicurezza "site isolation" in Chrome per desktop già da qualche anno, Google ha finalmente introdotto la "linea extra di difesa" anche per gli utenti Android che utilizzano il popolare browser per la navigazione online. Una funzione di sicurezza molto importante, che garantirà un alto livello di protezione sopratutto alle credenziali di login e alle password. 

In breve:
la funzione di sicurezza di Site Isolation crea un confine, una barriera aggiuntiva tra il sito web e lo smartphone, facendo si che pagine da siti web differenti finiscano aperte in differenti processi sandbox. La sandbox è una tecnologia di sicurezza che garantisce di eseguire un software o di visualizzare una pagina web in un ambiente virtuale separato da quello del sistema reale: qualsiasi malware o tentativo di attacco che dovesse avvenire in ambiente sandbox non produrrà quindi effetti sul sistema. 

giovedì 17 ottobre 2019

Campagna di phishing verso clienti Aruba


Non c'è pace per l'Italia in questo periodo: ancora alert, ancora CERT-PA. L'alert è stato diramato nella giornata di ieri e riguarda una campagna di phishing il cui scopo è la sottrazione delle credenziali di carte di credito degli utenti Aruba. Le email truffaldine sono indirizzate verso caselle email della Pubblica Amministrazione e di aziende private. 

L'email è scritta in italiano corretto, senza evidenti errori di sintassi o ortografia che solitamente rendono immediatamente distinguibile un tentativo di phishing. Il Cert-PA ha pubblicato, a titolo esemplificativo, una email campione di questa campagna, visibile sotto: 

lunedì 14 ottobre 2019

Nemty ransomware: nuova versione in diffusione, ma è disponibile il decryptor


Nemty è un nuovo ransomware, individuato in distribuzione la prima volta gli ultimi giorni di Agosto, anche se gli amministratori del malware lo hanno reso noto nei forum del cyber crime ben prima. Il nome deriva direttamente dall'estensione che questo malware aggiunge ai file una volta terminata la routine di criptazione. 

Questi  ransomware è "convolato a nozze" con il temibile Exploit kit RIG, usato come strumento di diffusione efficace e di massa per moltissimi malware "di punta" del monto del cyber crime. In questi giorni è stata individuata in diffusione, sempre tramite exploit kit RIG e insieme ad altri malware, una nuova versione di Nemty, la 1.6. 

La buona notizia è che è stato rilasciato un decryptor che permette alle vittime la risoluzione gratuita dell'infezione. 

Prima le buone notizie: disponibile tool gratuito di decriptazione

venerdì 11 ottobre 2019

Ancora attacchi via PEC: massiva campagna di phishing mira ad aziende e liberi professionisti italiani


Ancora alert da parte del CERT-PA riguardante cyber attacchi mirati contro utenti italiani. E' stata rilevata una vera e propria ondata di email di phishing indirizzata a indirizzi di posta PEC afferenti a strutture pubbliche, private o a soggetti iscritti a ordini professionali. Le email provengono da account PEC precedentemente  compromessi. La campagna è ANCORA IN CORSO. 

Le email fanno riferimento a  false fatture con firma digitale: il formato è .p7m, solitamente usato da professionisti e funzionari della Pubblica Amministrazione che hanno la necessità di inviare progetti o documenti di testo autenticati. Tale formato permette infatti di accertare l'identità di chi lo utilizza e assicura l'integrità del documento: è collegato all'uso della firma digitale.  L'uso di questo formato, del canale PEC e il testo copiato in forma esatta da una comunicazione reale (emessa da Sogei nel Sistema di Interscambio) rendono questa truffa molto molto insidiosa. 

giovedì 10 ottobre 2019

Rilevata nuova variante del ransomware FTCode: l'alert del Cert-PA


Il Cert-PA ha diramato nella giornata di ieri un nuovo alert riguardante il ransomware FTCode, il ransomware diffuso via PEC soltanto contro utenti italiani. Come specificato in precedenti approfondimenti, la versione in diffusione nelle scorse settimane era la stessa diffusa nel 2013 e scomparsa poi dai radar per ben sei anni. Le uniche, piccole modifiche riscontrate riguardavano soltanto comunicazioni aggiuntive con i server di comando e controllo, ma dimostrano comunque un'attività in corso da parte di qualche cyber attaccante sul codice. 

Ieri il Cert-PA ha confermato, segnalando la nuova variante, che c'è un investimento attivo da parte

mercoledì 9 ottobre 2019

Dopo le città criptate, ecco gli ospedali criptati: il ransomware Ryuk scatenato in USA e Australia


Qualche settimana fa avevamo parlato, in ben due approfondimenti, del problema delle "città criptate": in breve era in corso e, incredibilmente lo è tutt'ora, una vera e propria offensiva ransomware (certe volte perfino con attacchi coordinati contro più città o strutture) contro svariate tipologie di istituzioni pubbliche e private statunitensi. Il problema si è fatto così grave da aver costretto, ad esempio, lo Stato della Lousiana a dichiarare emergenza nazionale a Luglio, ma anche l'FBI a diramare svariate informative e alert. Addirittura, poco meno di due settimane fa, il Senato degli Stati Uniti ha approvato una legge ad hoc per arginare il problema dei dilaganti attacchi ransomware. L'ondata di attacchi non solo non si è fermata, ma sta mettendo in ginocchio decine di strutture ospedaliere e sanitarie. 

Un breve riepilogo
- La strage texana di Agosto >> leqqi qui
- Ransomware & città criptate: cosa sta accadendo negli Stati Uniti? >> leggi qui

Cosa sta accadendo?

giovedì 3 ottobre 2019

Ransomware FTCode: arrivano nuovi dettagli e non sono affatto buone notizie


Abbiamo parlato qualche giorno fa di FTCode, un ransomware che viene diffuso via PEC e che è in diffusione soltanto in Italia. Dato che continuiamo a ricevere segnalazioni di infezione e richieste di supporto per la risoluzione della criptazione dei file, torniamo sull'argomento, purtroppo con notizie pessime. 

Un ransomware obsoleto
La prima notizia è che FTCode è un ransomware molto molto vecchio, individuato addirittura nel lontano 2013 e mai risolto, anche perchè per circa 6 anni è come scomparso nel nulla. I nostri tecnici, così come quelli di Bleeping Computer che hanno provveduto ad analisi del codice del ransomware, confermano che l'algoritmo di criptazione non mostra alcuna falla sfruttabile per produrre un tool di risoluzione che possa riportare in chiaro i file. L'analisi dei tecnici di Certego invece ha confermato che è in diffusione la stessa identica variante diffusa nel 2013, con alcune piccolissime modifiche che dimostrano che c'è un attaccante / più attaccanti che stanno aggiornando il codice. Nei giorni scorsi infatti è stata notata l'aggiunta di due nuove richieste ai server di comando e controllo: una per avvisare dell'avvio della criptazione e una per il termine della routine. 

mercoledì 2 ottobre 2019

Aggiornamento di Google Chrome rende impossibile avviare i dispositivi Mac


Sono già migliaia in questi giorni, le segnalazioni di utenti possessori di dispositivi che eseguono macOS riguardanti l'impossibilità di un corretto avvio del sistema operativo. Il caso più eclatante, rimbalzato sui media a livello globale, riguarda il blocco dei Mac Pro utilizzati ad Hollywood per il montaggio delle serie TV. Forse è stato questo macro evento ad aver tratto tutti in inganno ed ad aver fatto pensare che il problema risiedesse nel popolare software di video editing Avid Media Composer, inizialmente l'indiziato numero 1: effettivamente il problema sembrava riguardante soltanto macchine che avevano installato questo programma. In realtà, analisi successive e le segnalazioni, hanno dimostrato come il problema invece sia conseguenza di un aggiornamento del browser Google Chrome. 

Sono stati i tecnici di Google stessi a confermare, dopo segnalazione di Avid, la presenza del bug: questo risiede nella nuova versione della routine di aggiornamento automatico del browser, chiamata Keystone, ed è in grado appunto di corrompere il file system rendendo impossibile l'avvio della macchina. 

giovedì 26 settembre 2019

ALERT: il ransomware FTCODE colpisce in Italia via PEC. Abbiamo già decine di segnalazioni


Ci sono pervenute molteplici segnalazioni e richieste di decriptazione riguardanti un ransomware poco conosciuto, del quale la comunità internazionale dei ricercatori IT ancora non parla probabilmente perchè la diffusione pare essere incentrata principalmente in Italia. Parliamo del ransomware FTCODE, le cui prime tracce di diffusione risalgono all'inizio di questo mese. 

Le informazioni disponibili sono ancora pochissime ne, per adesso, esiste una modalità di decriptazione sicura e il cui risultato renda in chiaro il 100% dei file compromessi. Ad oggi quindi è utile parlarne dando l'allerta e invitando tutti a prestare la massima attenzione. 

I canali di diffusione

venerdì 20 settembre 2019

Emotet si evolve ancora: nuovi template, nuove tecniche di infezione, nuovi sottogruppi di diffusione


Il Cert-Pa ha diramato un nuovo alert riguardante il famigerato malware Emotet, il quale, dopo qualche mese di inattività, ha ripreso le attività di diffusione via campagne di email di spam. Le versioni in diffusione presentano alcune novità, che riteniamo utile approfondire dato che Emotet è in diffusione anche in Italia con specifiche campagne in italiano rivolte contro utenti italiani. 

Il ricercatore di sicurezza Lawrance Abrams ha analizzato email, allegati e catena di infezione di questa nuova ondata, che ha segnato la riattivazione della botnet di Emotet, inattiva ormai da qualche mese. Centrando l'attenzione, sopratutto, sul fatto che Emotet non è più solo un trojan bancario per il furto di credenziali, ma un potente ed efficace distributore di altri malware. 

1. I nuovi template dei documenti di Emotet

giovedì 19 settembre 2019

Nuovo alert CERT-PA: Emotet riprende le operazioni di diffusione, anche in Italia


Il Cert-Pa ha diramato ieri un nuovo alert riguardante il famigerato malware Emotet, il quale, dopo qualche mese di inattività, ha ripreso le attività di diffusione via campagne di email di spam. 

La campagna in corso
La campagna in corso, come detto, è una campagna di email di spam rivolta sia a utenti privati che aziende: è in corso in tutto il mondo, ma le email sono personalizzate in base al paese in cui devono essere distribuite. Sia oggetto che testo che allegato sono creati ad hoc e nel caso dell'Italia, il testo è scritto in italiano piuttosto corretto: l'email presenta contenuti apparentemente legati a problemi finanziari, come fatture scadute ed è organizzata come fosse la prosecuzione di una conversazione precedentemente avviata.  

mercoledì 18 settembre 2019

400 milioni di immagini medico / diagnostiche esposte senza protezione sul web: Italia maglia nera in Europa


Un recente analisi sullo stato dei sistemi di storage di immagini sanitario / diagnostiche ha rivelato come almeno 600 server in 52 diversi paesi siano esposti pubblicamente sul web e alcuni perfino sprovvisti di una forma, anche minima, di protezione contro accessi non autorizzati. L'analisi viene da Greenbone Network, azienda tedesca che si occupa di analisi e gestione di vulnerabilità, e denuncia un problema che qualcuno non ha esitato a definire un "apocalisse privacy". 

Oltre alla denuncia del problema, pubblichiamo qualche dettaglio contenuto nel report in questione, nella convinzione che il miglior metodo per sensibilizzare e finalmente indurre le aziende e le pubbliche amministrazioni a tutelare con serietà e attenzione i dati sensibili e privati degli utenti sia quello di concretizzare con eventi reali un problema che per molti è ancora fumoso o meramente teorico.

lunedì 16 settembre 2019

Permissioni delle App: Google Play ospita 1000 app torcia che richiedono permissioni pericolose


Qualche tempo fa avevamo parlato di servizi VPN per Android e le permissioni da loro richieste: il ricercatore di sicurezza John Mason aveva scoperto infatti che oltre il 62% delle App VPN per Android (anche a pagamento) richiede permissioni eccessive e pericolose rispetto alle funzioni che deve svolgere (e certo, stona ancora di più se teniamo di conto che, almeno in teoria, un servizio VPN dovrebbe garantire proprio la privacy). 


Torniamo sull'argomento per indicare come anche dietro le app apparentemente più innocue, si celino spessissimo permissioni eccessive e pericolose. E' di qualche giorno fa un dettagliato report che ha analizzato circa un migliaio di app per le torce dei nostri smartphone, tutte disponibili al download sul Google Play Store. Anche in questo caso, la situazione è grave:

venerdì 13 settembre 2019

Nuovo alert CERT-PA: tornano le campagne malware via PEC contro privati e professionisti


Pare non esserci pace per l'Italia, bersaglio in questo secondo semestre del 2019 di un grande numero di campagne di distribuzione malware, sopratutto banking trojan, infostealer e ransomware. Dopo l'allarme di pochi giorni fa riguardante centinaia di domini .it Wordpress compromessi per diffondere il malware Gbot, il CERT-PA ha diramato ieri un nuovo alert: una vasta campagna di email di spam sta diffondendo un pericoloso malware. 

Qualche dettaglio tecnico 
La campagna in atto usa il canale di posta certificata PEC per diffondere il malware sLoad, contenuto in allegato entro un archivio in formato .ZIP. Lo schema è del tutto simile ad una campagna già precedentemente analizzata dal CERT-PA (che abbiamo descritto qui) e prende di mira principalmente professionisti e privati. 

giovedì 12 settembre 2019

La truffa via email fa una vittima di eccellenza: rubati 37 milioni di dollari alla Toyota


Il 6 Settembre sul sito ufficiale della Toyota è comparsa una nota, questa, molto vaga ma che fa intendere a grandi linee la questione: a causa di una truffa portata avanti attraverso un account email aziendale compromesso, la Toyota ha subito il furto di 4 miliardi di Yen (circa 37 milioni di dollari). 

La nota non chiarisce molto a livello tecnico, ma si può intendere che siamo in presenza di una classica truffa con la quale sono bersagliate aziende in tutto il mondo (in questo caso una filiale europea dellla Toyota): parliamo della BEC, Business Email Compromise. Alcuni ricercatori di sicurezza hanno messo in relazione l'attacco informatico subito da Toyota lo scorso Marzo, col quale gli attaccanti avevano messo le mani su molti dati aziendali e su quelli di oltre 3 milioni di clienti. 

Dal caso eclatante alla realtà di tutti i giorni

mercoledì 11 settembre 2019

Alert CERT-PA: centinaia di domini .it Wordpress compromessi diffondono malware


Molti ricercatori di sicurezza hanno segnalato una campagna di compromissione di domini WordPress: gli attaccanti ottengono il controllo di domini  con il famoso CMS WordPress che fanno ancora uso di versioni obsolete del plugin "apikey". 

La campagna in corso coinvolge migliaia di domini afferenti a più paesi, ma sono qualche centinaia quelli italiani compromessi, la quasi totalità di proprietà di soggetti privati. L'utente @blackorbird ha reso pubblica già agli inizi di Agosto la lista dei domini compromessi con questa campagna, aggiornata mano a mano: ad ora ammonta a circa 3200 domini. La lista completa, contenente anche i domini .it, è disponibile qui.